Frodi online: phishing, vishing e smishing

A volte il punto di partenza potrebbe essere l’apertura di un banale allegato oppure un semplice clic a un link. Dobbiamo sempre fare attenzione quando navighiamo in rete e lasciamo i nostri dati personali, a volte basta una piccola distrazione per cadere vittima di una frode. E’ quindi molto importante conoscere le principali tecniche che i malintenzionati usano per attaccare online.

Esistono varie pratiche illegali che differiscono l’una dall’altra nel modo in cui il truffatore si mette in contatto con le vittime. Ma l’obiettivo è lo stesso: rubare informazioni riservate (come dati bancari, numeri di carte di credito, il pin del tuo telefono, la password per accedere alle email e i codici del tuo internet banking…) per fini illeciti.

I malintenzionati contattano gli utenti tramite:

• email (phishing),
• SMS (smishing),
• WhatsApp o addirittura telefonate (vishing).

Tutte queste modalità sono spesso utilizzate in modo combinato fra loro e si avvalgono di tecniche di “social engineering“, ossia basate sullo studio e la manipolazione dei comportamenti delle persone, il cui scopo è raccogliere informazioni confidenziali, come le abitudini e preferenze di acquisto. Ad esempio, dai social network si può risalire facilmente agli interessi, ai luoghi che frequentiamo, alle nostre amicizie. Sono tecniche molto insidiose perché utilizzano l’inganno o sfruttano l’ingenuità della vittima per indurla a fidarsi di chi la sta contattando.

Esistono per fortuna consigli pratici da applicare sin da subito per tutelarsi dalle frodi online.

Phishing – cos’è e come funziona

Il phishing (da «to fish», «pescare», perché la vittima viene «presa all’amo» dal truffatore) è un messaggio ingannevole che arriva via e-mail, che mira a farci compiere un’azione (esempio, cliccare su un link o scaricare una app) per rubarci l’identità o i dati personali allo scopo di accedere ai nostri conti bancari, carta di credito o per altre operazioni criminali.

Le tipiche azioni richieste dal phisher sono:

• cliccare su un link, che conduce a un modulo dove inserire i nostri dati bancari o personali;
• installare a nostra insaputa un app malevola (“malware”);
• rispondere direttamente coi nostri dati, password o codici di accesso.

I phisher generalmente si spacciano per una banca o un’entità considerata affidabile (posta, pubbliche amministrazioni…) o un’azienda molto nota, sfruttandone illecitamente il loro brand, per indurre gli utenti a fidarsi, anche sfruttando dei dati sull’utente che già si conoscono (data di nascita, indirizzo di residenza…) per spingerlo a divulgare informazioni confidenziali.

Le email di phishing sono quasi del tutto identiche a quelle delle aziende dalle quali sembrano provenire, in quanto spesso i truffatori modificano i messaggi inviati dalle aziende, per inserire nuovi testi e il link di aggancio al sito fraudolento. E anche quest’ultimo segue perfettamente lo stile e la grafica del sito originale. Non è difficile smascherare questi tentativi, basta fare attenzione: vediamo allora quali elementi prendere in considerazione.

Come riconoscerlo?

• Indirizzo del mittente: Il messaggio di solito sembra provenire da una banca o da un’organizzazione conosciuta. Può essere simile all’indirizzo originale, ma potrebbe contenere degli errori di battitura o avere un dominio differente rispetto ai classici .it o .com.
• Oggetto sospetto: spesso è strutturato come risposta a un messaggio (“RE:”) che non abbiamo inviato oppure non è chiaro, è generico o è scritto in inglese.
• Errori di grammatica, traduzione o formattazione nel testo o nel nome dell’azienda oppure il logo riprodotto male sono dettagli che devono insospettirti: quasi sempre si tratta di phishing.
• Esca allettante: ad esempio vincite a presunti concorsi, offerte di lavoro, regali o premi, di solito sono finte; se parlano di vincite di denaro vanno sempre ignorate.
• Avviso di urgenza: ad esempio, scadenza delle password di accesso oppure gravi problemi tecnici verificatisi con il proprio conto corrente o nella gestione delle transazioni da risolvere al più presto, pena disattivazione dell’account.
• Invito all’azione ( “Verifica subito”, “Vai al sito” ecc.): per esempio, viene richiesto di collegarsi al sito per sbloccare il conto o regolarizzare la propria situazione bancaria o compilare un form.
• Richiesta diretta di dati personali: ad esempio, inserire i codici personali per aggiornare dati anagrafici oppure per verificare posizioni e transazioni effettuate.
• Link fasulli: in caso di phishing noterai strani codici numerici o altri URL che non hanno nulla a che vedere con il sito che ti viene richiesto di visitare. Attenzione agli indirizzi web accorciati tramite servizi come TinyURL o Google url shortener (noto anche come goo.gl, è un servizio di abbreviazione di URL interrotto di proprietà di Google).
• Posta indesiderata: I messaggi che si trovano nella cartella dello spam sono spesso tentativi di phishing.

Come evitarlo?

• Controlla sempre la provenienza delle comunicazioni che ricevi e verifica l’attendibilità del mittente.
• Non fornire mai dati personali: se vengono richiesti dei dati (password, numeri di carta di credito, ecc) non rispondere e cestina il messaggio.
• Non cliccare sul link e non scaricare l’allegato e le immagini che contengono se il mittente è sconosciuto; Se conosciuto, prima di aprirli, è sempre meglio verificare con il mittente.
• Fai attenzione ai dettagli e controlla bene il testo e gli errori di grammatica.
• Il phisher maschera molto bene il proprio indirizzo web. Per controllare i link, basta passare sopra (senza cliccare) il puntatore del mouse per visualizzare la url di destinazione.
• Se scarichi i messaggi di posta sul computer ( tramite programmi come Microsoft Outlook) assicurati che la cartella di posta indesiderata sia attiva.
• Prova a rispondere alla e-mail sospetta (Reply): se ricevi un errore di invio o ricezione perché l’indirizzo del destinatario è inesistente può trattarsi di una truffa.

Smishing

Lo smishing (dalla combinazione delle parole SMS e Phishing) è il tentativo da parte dei truffatori di acquisire informazioni personali, finanziarie o di sicurezza tramite SMS.

Come riconoscerlo?

• Numero di provenienza: il messaggio arriva da un numero di telefono che non abbiamo salvato in rubrica. Ma é anche possibile che l’SMS si posizioni all’interno della cronologia autentica della banca. Questo fenomeno è definito Swap Alias
• Contenuto sospetto: l’SMS ti chiede di collegarti ad un link.
• Richiesta dati personali: una volta sul sito, ti vengono richieste delle credenziali di accesso (nomi utente, e-mail, password, numeri di carte di credito).
• Numero di telefono: l’SMS ti chiede di chiamare un numero di telefono per “verificare“, “aggiornare” o “riattivare” il tuo account.
• Download app: in molti casi, ti viene chiesto di scaricare un’applicazione sul telefono tramite un link (che in genere rimanda su uno store non autorizzato).

Come evitarlo?

• Fatti lasciare un numero di telefono fisso rintracciabile e verifica l’identità del tuo interlocutore.
• Non cliccare su link, allegati o immagini che ricevi via SMS indesiderati.
• Non rispondere mai ad un SMS che richiede il tuo pin o la password del tuo conto online o qualsiasi altra credenziale di sicurezza.
• Elimina i messaggi SMS sospetti contenenti dei link.
• Scarica applicazioni solo da App Store o da Google Play, mai direttamente da un messaggio WhatsApp o SMS.
• Attiva sul tuo smartphone la funzione di “blocco testi provenienti da web”.
• Fai attenzione al testo e controlla gli errori di grammatica.

Il vishing

Il vishing (dalla combinazione delle parole Voice e Phishing) è una truffa telefonica in cui i truffatori cercano di indurre la vittima a divulgare informazioni personali, finanziarie o di sicurezza o a trasferire loro del denaro, spacciandosi per rappresentanti di aziende o di utenze. Solitamente la truffa tramite vishing avviene dopo aver dato seguito ad un SMS di smishing o una email di phishing.

Gli aggressori sfruttano la tecnologia della telefonia VoIP (Voice over IP), per effettuare un gran numero di chiamate fraudolente, a basso costo o gratuite e per nascondere la propria identità e numero di telefono, fingendo di chiamare da un numero di telefono che non gli appartiene o che non è associato al suo indirizzo IP.

Il visher sfrutta tecniche di manipolazione emotiva e trucchi psicologici per convincere le vittime a rivelare informazioni personali. L’aggressore fa solitamente leva sull’urgenza della situazione (ad esempio, un problema da risolvere) per sollecitare risposte rapide e immediate. Inoltre, avere un contatto telefonico crea maggiore empatia con l’interlocutore rispetto ad una asettica e-mail. Ad esempio, credendo di parlare con il tuo gestore di telefonia, sarai più propenso a fornire dati personali.

Ad abbassare il livello di difesa c’è la constatazione che il truffatore possiede già molti dati personali della vittima. I truffatori possono trovare le tue informazioni di base online (ad es. attraverso i social media). Non presumere dunque che chi chiama sia autentico solo perchè possiede questi dati.

In molti casi, il visher indurrà la vittima a scaricare un ’applicazione, che una volta installato permetterà all’aggressore di rubare altri dati personali (vedi malware).

Come riconoscerlo?

• Il numero di telefono è sconosciuto oppure sembra un numero autentico (questo è possibile tramite il fenomeno dello spoofing).
• Chi chiama dice di appartenere ad un call center di un istituto di credito, di una società di software o di telecomunicazioni.
• L’interlocutore che vi ha telefonato vi chiede di fornire i dati del conto o altre informazioni personali oppure di scaricare un’app sul telefono.

Come evitarlo?

• Fai attenzione alle chiamate telefoniche indesiderate.
• Segnati il numero del chiamante e avvisalo che lo richiamerai.
• Per verificare l’identità, contatta direttamente la banca o l’organizzazione.
• Fai sempre riferimento ai numeri di telefono riportati sul sito web ufficiale dell’azienda.
• Non dare credito al truffatore utilizzando il numero di telefono che ti ha fornito (potrebbe trattarsi di un numero falso o contraffatto).
• Se hai dubbi, interrompi la conversazione e contatta direttamente il servizio clienti dell’azienda per assicurarti che si tratta di una procedura regolare.